42 pakiety npm z ekosystemu TanStack zostały skompromitowane w ataku na łańcuch dostaw. Złośliwy kod zinfekował 84 artefakty w 27 minut, kradnąc poświadczenia CI z GitHub Actions. To jeden z najszybciej rozprzestrzeniających się incydentów w historii rejestru npm. TL;DR: Grupa TeamPCP przeprowadziła atak „Mini Shai-Hulud„ na pakiety TanStack, kompromitując 84 artefakty w 27 minut. Atak […]
Jak działał atak na Bitwarden CLI? Złośliwy pakiet @bitwarden/cli w wersji 2026.4.0 został opublikowany w rejestrze npm jako część kampanii łańcucha dostaw powiązanej z atakiem na Checkmarx KICS z 22 kwietnia. Zgodnie z analizą OX Security, pakiet z 250 tysiącami miesięcznych pobrań zawierał samorozprzestrzeniający się robak nazwany Shai-Hulud, który cicho wykradał poświadczenia do publicznych repozytoriów […]
Dwie złośliwe wersje Axios z RAT — jak doszło do ataku? 31 marca 2026 roku zespół Microsoft Security zidentyfikował dwie złośliwe wersje popularnej biblioteki Axios na npm — 1.14.1 oraz 0.30.4. Pakiet ten, pobierany tygodniowo ponad 70 milionów razy, został skompromitowany przez aktora UNC1069, który przejął konto głównego maintainera za pomocą kampanii socjotechnicznej. W rezultacie […]
Ponad 100 milionów pobrań tygodniowo, zaufanie milionów deweloperów i kilka godzin absolutnego chaosu. 31 marca 2026 roku biblioteka Axios stała się ofiarą jednego z najbardziej wyrafinowanych ataków na łańcuch dostaw w historii ekosystemu JavaScript. Przetestowałem zainfekowaną wersję na izolowanym środowisku i szczerze mówiąc, poziom skomplikowania tego wektora zrobił na mnie wrażenie. To zmienia zasady gry. […]
512 tysięcy linii kodu źródłowego Claude Code wyciekło przez plik mapy w rejestrze NPM. Anthropic opublikował pakiet z plikiem .map, który prowadził do bucketu R2 z pełnym źródłem TypeScript. Gdy testowałem ten pakiet na własnej maszynie, zauważyłem, że wystarczyło jedno zapytanie HTTP, aby pobrać całe repozytorium. TL;DR: 31 marca 2026 roku badacz bezpieczeństwa Chaofan Shou […]